0
点赞
收藏
分享

微信扫一扫

asp.net core安全事项(上)

asp.net core安全事项(上)_微信公众号


  • 隐藏web服务端信息

  创建一个asp.net core mcv web项目,运行,F12查看返回信息,如下图,会清晰看到服务端的类型是kestrel.

asp.net core安全事项(上)_重定向_02

   有时安全检测要求不能显示服务端信息,这样在一定程度上能降低被 攻击的风险,具体代码如下:

public class Program
{
public static void Main(string[] args)
{
CreateHostBuilder(args).Build().Run();
}

public static IHostBuilder CreateHostBuilder(string[] args) =>
Host.CreateDefaultBuilder(args)
.ConfigureWebHostDefaults(webBuilder =>
{
webBuilder.ConfigureKestrel(opt =>
{
//隐藏服务端信息
opt.AddServerHeader = false;
});
webBuilder.UseStartup<Startup>();
});
}

  效果如下,kestrel被隐藏起来了。

asp.net core安全事项(上)_重定向_03

 防止重定向

[AllowAnonymous]
[HttpPost("login")]
public IActionResult Login(string userName,string password,string returnUrl = "/")
{
//这里省略n行代码
return Redirect(returnUrl);
}

  上面代码中,一般验证用户信息后会跳转到一个站内页面,这个时候会带有returnUrl,这个url如果被篡改成其他站点url,就样就会把我们引导到其他站点提供授权信息,从而泄露自己的登录信息,怎么破?如下:

[AllowAnonymous]
[HttpPost("login")]
public IActionResult Login(string userName, string password, string returnUrl = "/")
{
//这里省略n行代码
//return Redirect(returnUrl);

return LocalRedirect(returnUrl);
//or
if (Url.IsLocalUrl(returnUrl))
{
return Redirect(returnUrl);
}
else
{
return Redirect("/error");
}
}

登出,登录次数限制

public async Task<IActionResult> Logout()
{
//logout要使登录的cookie失效
await HttpContext.SignOutAsync(CookieAuthenticationDefaults.AuthenticationScheme);
return RedirectToAction("Index", "Home");
}

  有登录,就要一定要有登出,如果是基于cookie,让客户端cookie清除,如果是jwt,token一定要有过期(或服务端维护状态让其实效)。这样可以有效防止授权信息被别人再利用。

  另一方面要设计一定时间内登录错误次数锁定帐户功能,在一定程度上也能减少被攻破的风险。

  (未完待续)


  想要更快更方便的了解相关知识,可以关注微信公众号 


asp.net core安全事项(上)_服务端_04


举报

相关推荐

0 条评论